نظام توصيل أجهزة KES بالخادم الذي يتضمن تفويض Kerberos المقيّد (KCD)

يعمل نظام توصيل أجهزة KES بخادم الإدارة الذي يتضمن تفويض Kerberos المقيّد (KCD) على ما يلي:

• التكامل مع Microsoft Forefront TMG.‏
• استخدام تفويض Kerberos المقيّد (يُشار إليه فيما بعد باسم KCD) لمصادقة الأجهزة المحمولة.
• التكامل مع البنية الأساسية للمفتاح العام (يُشار إليها فيما بعد باسم PKI) لتطبيق شهادات المستخدم.

عند استخدام نظام الاتصال هذا، الرجاء ملاحظة ما يلي:

• نوع اتصال أجهزة KES بـ TMG يجب أن يكون "مصادقة SSL ثنائية الاتجاه"، أي أن الجهاز يجب أن يتصل بـ TMG عبر شهادة المستخدم الشخصية الخاصة به. للقيام بذلك، أنت في حاجة لدمج شهادة المستخدم في حزمة تثبيت Kaspersky Endpoint Security for Android، التي تم تثبيتها على الجهاز. يجب إنشاء حزمة KES هذه بواسطة خادم الإدارة خصيصًا لهذا الجهاز (المستخدم).
• يجب عليك تحديد الشهادة الخاصة (المخصصة) بدلاً من شهادة الخادم الافتراضية لبروتوكول الجهاز المحمول:
  1. في نافذة خصائص خادم الإدارة، في قسم الإعدادات، حدد خانة الاختيار فتح منفذ للأجهزة المحمولة ثم حدد إضافة شهادة من القائمة المنسدلة.
  2. في النافذة التي سيتم فتحها، حدد الشهادة ذاتها التي تم تعيينها على بوابة TMG عندما تم نشر نقطة الوصول إلى بروتوكول الجهاز المحمول على خادم الإدارة.
• يجب إصدار شهادات المستخدم لأجهزة KES بواسطة هيئة إصدار الشهادات (CA) الخاصة بالمجال. ضع في اعتبارك في حالة احتواء المجال على هيئات إصدار شهادات جذر متعددة، يجب إصدار شهادات المستخدم بواسطة هيئة إصدار الشهادات (CA)، التي تم تعيينها في النشر على بوابة TMG.‏

  يمكنك التأكد أن شهادة المستخدم متوافقة مع المتطلب الموضح أعلاه عن طريق استخدام طريقة من الطرق التالية:

  • حدد شهادة المستخدم الخاصة في معالج حزمة التثبيت الجديدة وفي معالج تثبيت الشهادة.
  • دمج خادم الإدارة مع البنية الأساسية للمفتاح العام (PKI) وتحديد الإعداد المقابل في قواعد إصدار الشهادات:
    1. في شجرة وحدة التحكم، قم بتوسيع المجلد إدارة الجهاز المحمول، وحدد المجلد الفرعي الشهادات.
    2. في مساحة عمل المجلد الشهادات، انقر فوق الزر تكوين قواعد إصدار الشهادات لفتح النافذة قواعد إصدار الشهادات.
    3. في القسم التكامل مع PKI، قم بتكوين التكامل مع البنية الأساسية للمفتاح العام (PKI).‏
    4. في القسم إصدار شهادات المحمول، حدد مصدر الشهادات.

يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:

• يتم تعيين نقطة الوصول إلى بروتوكول الجهاز المحمول على خادم الإدارة إلى المنفذ 13292.
• اسم الجهاز الذي يحتوي على TMG هو tmg.mydom.local.‏
• اسم الجهاز المثبّت عليه خادم الإدارة هو ksc.mydom.local.‏
• اسم النشر الخارجي لنقطة الوصول إلى بروتوكول الجهاز المحمول هو kes4mob.mydom.global.‏

حساب المجال لخادم الإدارة

يجب عليك إنشاء حساب مجال (على سبيل المثال KSCMobileSrvcUsr) الذي ستعمل خدمة خادم الإدارة بموجبه. يمكنك تحديد حساب لخادم الإدارة عند تثبيت خادم الإدارة أو عبر الأداة المساعدة klsrvswch. توجد الأداة المساعدة klsrvswch في مجلد التثبيت الخاص بخادم الإدارة. مسار التثبيت الافتراضي: <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

يجب تحديد حساب مجال للأسباب التالية:

• الميزة إدارة أجهزة KES هي جزء متكامل من خادم الإدارة.
• لضمان العمل الصحيح لتفويض Kerberos المقيّد (KCD)، يجب أن تعمل جهة الاستلام (أي خادم الإدارة) أسفل حساب مجال.

الاسم الأساسي للخدمة لـ http/kes4mob.mydom.local

في المجال، أسفل حساب KSCMobileSrvcUsr، قم بإضافة SPN لنشر خدمة بروتوكول الجهاز المحمول على المنفذ 13292 الخاص بالجهاز المثبّت عليه خادم الإدارة. بالنسبة لجهاز kes4mob.mydom.local المثبّت عليه خادم الإدارة، سيظهر الاسم كمل يلي:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

تكوين خصائص المجال الخاصة بالجهاز الذي يحتوي على TMG (tmg.mydom.local)

لتفويض حركة المرور، يجب عليك اعتماد الجهاز الذي يحتوي على TMG (tmg.mydom.local)‎ إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)‎.

لاعتماد الخدمة التي تحتوي على TMG إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)‎، يجب أن يقوم المسؤول بالإجراءات التالية:

1. في أداة الإضافة الخاصة بـ Microsoft Management Console التي تحمل الاسم "مستخدمو وأجهزة كمبيوتر Active Directory"، حدد الجهاز المثبّت عليه TMG (tmg.mydom.local)‎.
2. في خصائص الجهاز، من علامة التبويب التفويض، قم بتعيين مؤشر التبديل اعتماد هذا الكمبيوتر للتفويض إلى الخدمة المحددة فقط إلى استخدام أي بروتوكول مصادقة.
3. في قائمة الخدمات التي يمكن لهذا الجهاز تقديم بيانات الاعتماد المفوضة لها، قم بإضافة SPN http/kes4mob.mydom.local:13292.‏

شهادة خاصة (مخصصة) لعملية النشر (kes4mob.mydom.global)

لنشر بروتوكول الجهاز المحمول الخاص بخدام الإدارة، يجب عليك إصدار شهادة خاصة (مخصصة) لـ FQDN kes4mob.mydom.global وحدد شهادة الخادم الافتراضية في إعدادات بروتوكول الجهاز المحمول الخاص بخادم الإدارة في وحدة تحكم الإدارة. للقيام بذلك، في نافذة الخصائص الخاصة بخادم الإدارة، في قسم الإعدادات، حدد خانة الاختيار فتح منفذ للأجهزة المحمولة ثم حدد إضافة شهادة من القائمة المنسدلة.

الرجاء ملاحظة أن حاوية شهادة الخادم (ملف امتداده ‎p12 أو ‎pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).

تكوين النشر على TMG

على بوابة TMG، بالنسبة لحركة المرور التي تنتقل من جهة الجهاز المحمول إلى المنفذ 13292 الخاص بـ kes4mob.mydom.global، يجب عليك تكوين KCD على SPN (http/kes4mob.mydom.local:13292)‎، باستخدام شهادة الخادم التي تم إصدارها لـ FQND kes4mob.mydom.global.‏ الرجاء ملاحظة أن النشر ونقطة الوصول المنشورة (المنفذ 13292 الخاص بخادم الإدارة) يجب أن تتشارك شهادة الخادم نفسها.